3.1. Встановлення критерію прийняття ризику

Для встановлення критерію прийняття ризику виконується циклічна робота згідно стандарту ISO /IEC 27001.

Якщо прийняти весь ризик за 100 %, то при заробітку в рік 16,2 млн. грн. підприємство готове прийняти ризиків на 15 %.

x = 1,5.

Діапазон значень ризику становить 0–10.

Тому ризики, що є незначними для підприємства становлять 0–1,5. Обробляти такі ризики непотрібно, бо це ті ризики реалізація яких є малоймовірною або вони нанесуть малі збитки. Ризики, що вважають значними становлять діапазон 1,5–10. Вони можуть призвести до великих збитків для підприємства.

РОЗДІЛ 4. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

4.1. Загальні положення

Інформація є цінним і життєво важливим ресурсом підприємства “Solar Systems” (далі – Підприємство). Дана політика інформаційної безпеки передбачає застосування необхідних заходів з метою захисту активів від випадкової або навмисної зміни, розкриття або знищення для забезпечення конфіденційності, цілісності і доступності інформації, забезпечення процесу автоматизованої обробки даних на Підприємстві. Застосовується рольова політика інформаційної безпеки.

Відповідальність за дотримання інформаційної безпеки несе кожен співробітник Підприємства, при цьому першочерговим завданням є забезпечення безпеки усіх активів. Це означає, що інформація має бути захищена не менш надійно, ніж будь-який інший основний актив Підприємства. Головні цілі Підприємства не можуть бути досягнуті без своєчасного і повного забезпечення співробітників інформацією, необхідною їм для виконання своїх службових обов’язків.

У даній Політиці під терміном “співробітник” розуміються усі співробітники Компанії.

4.1.1. Мета і призначення

Цілями Політики є:

– збереження конфіденційності критичних інформаційних ресурсів;

– забезпечення безперервності доступу до інформаційних ресурсів Підприємства для підтримки бізнес-діяльності;

– захист цілісності ділової інформації з метою підтримки можливості Підприємства надавати послуги високої якості та ухвалювати ефективні управлінських рішення;

– підвищення обізнаності користувачів в області ризиків, пов’язаних з інформаційними ресурсами Підприємства;

– визначення міри відповідальності та обов’язків співробітників для забезпечення інформаційної безпеки в Підприємства.

Керівники Підприємства повинні забезпечити регулярний контроль за дотриманням положень Політики. Крім того, має бути організована періодична перевірка дотримання інформаційної безпеки з подальшим представленням звіту за результатами вказаної перевірки Керівництву.

4.1.2. Область застосування

Вимоги Політики поширюються на всю інформацію та ресурси обробки інформації Підприємства. Дотримання Політики обов’язковим для усіх співробітників. У договорах з третіми особами, що отримують доступ до інформації Підприємства, має бути обумовлений обов’язок третьої особи виконувати вимоги Політики.

Підприємству на правах власності (у тому числі інтелектуальної) належить уся ділова інформація і обчислювальні ресурси, придбані (отримані) і введені в експлуатацію в цілях здійснення нею діяльності відповідно до чинного законодавства.

Вказане право власності поширюється на голосовий зв’язок, який здійснюється з використанням обладнання Підприємства, ліцензійне і розроблене програмне забезпечення, паперові та електронні документи усіх функціональних підрозділів і персоналу Підприємства.